企業因應個資法該做的維護措施6：資料安全管理以及人員的管理

個資法的目的就是為了保護個人資料，在個資法施行細則第12條明定11項安全維護措施第6項是資料安全管理及人員管理，如何確保個人資料的安全，以及經手這些個人資料的相關人員控管，也就成了因應個資法的關鍵。

企業所擁有的個人資料應該要分級控管

透過個資盤點找出企業內部擁有個人資料後，就可以依據這些資料的敏感程度、風險程度來分類，再依此分類來採取不同的管理措施。高風險或是較為敏感的個資必須有更加嚴謹的管理，或是個資法中第6 條規定中提到的特種個資，有關醫療、基因、性生活、健康檢查及犯罪前科等資料，需有不同的管理方式，雖然個資法第6條目前暫緩實施等待修法，但企業也要先行訂定特種個資的處理方式，採取更嚴謹的保護措施。

在資料或是檔案的控管方面，紙本文件要有專責小組或是專人統一管理，放置資料或檔案的地方要有保護措施，像是監視器、可上鎖的櫃子等，而若是有人員想要借閱時，則必須依照流程填寫相關的申請單。

此外，不論是電子檔案或是紙本文件的資料都應該做遮罩或是去識別化處理，目前市面上也有廠商針對這方面推出動態資料遮罩（Dynamic Data Masking）的產品，這種產品的功能是在不需要更動資料庫資料及應用程式的情況下，將所需資料在取出資料庫的同時進行遮敝或模糊化的作業，企業亦可藉助此類軟體來協助進行個資的防護。

資料傳輸要加密，跨國傳輸更要注重接收國的個資保護

至於傳輸資料時，要先確認接收方個資保護落實的程度有無達到法規的要求，才可將資料傳送給對方。若是國際傳輸也必須確認接收國是否對於個資保護也有完善的法律規範，以免有損當事人的權益，而在個資法即明定了企業不許將個資傳遞至中國大陸。

採人工方式傳輸個人資料時，如派專人遞送或是透過快遞、郵寄掛號的方式將個資文件或檔案送至他人的手中，最重要的是要注意對方必須要簽收，而簽收的收據企業必須妥善的留存。若是透過電子方時傳輸個資時，資料傳輸前和傳輸時要經過加密的處理，目前電子傳輸時常用的SSL（Secure Socket Layer）加密技術，也可以導入SSL VPN方案來保護資料跨廣域網路的傳輸。

要依職務分級管理個資存取權限，而非人人可查詢

而企業也應該依據員工的職位進行資料分級，開設不同的存取權限，只供職務上有需求的才可以存取，並非企業內部每個人都可以查閱、修改、刪除企業所擁有的個人資料。若是有員工離職或是職位上的更動，存取的權限都必須即時的更新或是刪除。資料庫或是文件管理人員也必須有稽核人員來稽核他們的工作內容，不然可能會發生監守自盜的情況。

在人員的管理方面，企業要定期舉辦教育訓練，宣導內部得各項管理程序及作業流程，必須讓員工清楚了解這些規範，才能有效的落實個資保護制度。

企業建立的資料安全管理制度或人員管理制度，都需公布讓員工了解，並有實施記錄可查，以供未來行政檢查或訴訟舉證之用。此外，管理高層應該定期或在重大變故發生時，重新評估資料安全性和人員管理作法，審視企業各項安全維護措施是否足夠因應各項風險及威脅，有無需要改善的地方。

在BS 10012英國個資保護標準中，條款4.13即針對可能的安全議題進行詳細的規範，企業可借鏡參考。資料安全管理和人員管理是相輔相成的，有良好的程序規範，員工也必配合須遵循，才能發揮最大的效益。

　安全維護措施6：資料安全管理及人員管理　

1. 資料要分級管理，可依資料敏感程度、風險高低來分級並訂定不同管理方法

2. 個資使用或傳輸時若沒有必要完整顯示時，就要部分遮罩或去識別化處理

3. 建立紙本文件與電子檔案的存取控管流程

4. 內含個資的資料傳輸過程要加密以避免外洩

5. 要依員工職務分級管理個資存取權限，而非人人都可以查詢

6. 可參考BS 10012英國個資保護標準4.13條款

資料來源：iThome整理，2012年10月

相關報導請參考「因應個資法第一步：11項企業該做好的安全維護措施」